ここから本文です

Microsoft、新たに発見されたマルウェア対策エンジンの脆弱性を修正

5/30(火) 8:19配信

ITmedia エンタープライズ

 Microsoftのマルウェア対策エンジンに深刻な脆弱(ぜいじゃく)性が見つかったとして、米Googleの研究者がProject Zeroのページで情報を公開した。研究者によれば、Microsoftは5月25日にこの問題を修正したという。

【Googleのセキュリティ研究者がProject Zeroのページで情報を公開】

 Google研究者が公開した情報によると、脆弱性はMicrosoftのマルウェア対策製品に使われている「MsMpEng」のエミュレータに存在する。同エミュレータは、信頼できないファイルの実行に使われるもので、特権で実行され、サンドボックス化もされていない。

 「このエミュレータがサポートしているWin32 APIのリストを参照していたところ、エミュレートされたコードでエミュレータをコントロールできてしまう、ioctl-likeルーティン『ntdll!NtControlChannel』が見つかった」と研究者は報告。自分が作成したインポートライブラリを、エミュレートされたコードから呼び出せてしまうことが分かったとしている。

 この問題は、任意のコマンド実行などの攻撃に利用される恐れがあるといい、Microsoftには5月12日に報告したという。「Microsoftは黙ってこれを修正した」と研究者は伝えている。

 Microsoftのマルウェア対策エンジンを巡っては、Googleの研究者が5月上旬にも別の脆弱性を発見し、Microsoftは月例セキュリティ更新プログラムを公開する前日に緊急対処する異例の措置を講じていた。